Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails) *** mise à jour 12/10/2014 ***

#1 Le 06/11/2012, à 10:25

Triptek

Server SMTP Professionel

Bonjour à tous !

J'aurais besoin de quelques conseils pour la mise en place d'un serveur SMTP (envoi et reception) au sein de mon entreprise.

En ce qui concerne la configuration actuelle, nous utilisons la messagerie Exchange (2010 SP2). J'ai 2 serveurs Exchange, 1 avec HUB/MailBox/CAS et un autre avec CAS (utilisé uniquement pour l'OWA externe, commerciaux etc...). J'ai également 2 noms de domaine qu'on appelera domaine1.fr et domaine2.fr. domaine1.fr est géré (DNS) par notre FAI historique et nous utilisons leurs SMTP pour l'envoi et la reception. domaine2.fr s'est ajouté en début d'année et je gère la partie DNS (chez OVH).

La solution la plus rapide et à moindre coût que j'ai mis en place (que je trouve bancale mais ça marche) c'est d'utiliser un serveur qui était déjà dispo (Windows Server 2008 SP2) et installé dans notre DMZ sur lequel j'ai ajouté le rôle SMTP que je gère depuis la console IIS6. J'ai renseigné son IP publique dans le DNS en créant une entré MX. Ce serveur est donc utilisé uniquement pour la reception de domaine2.fr (il relay les mail directement à mon exchange), l'envoi se fait donc via les SMTP de notre FAI.

Jusque la rien d'extraordinaire j'dirais, mais côté sac de noeuds et truc bancale, j'suis bon ! L'idée est que par la suite, je voudrais récupérer la gestion de domaine1.fr, ce qui veux dire que mon FAI ne me laissera plus accès à l'envoi via ses SMTP. Réception ok, ça serait vite réglé avec une petite entrée MX.

L'idée serait donc d'avoir un (des) serveur(s) SMTP qui me permettrait de faire le facteur virtuel de bout en bout. Seulement, vu le nombre de solution, j'suis franchement pommé. Sendmail, Exim, Postfix... Bref, je ne sais pas vraiment vers lequel me tourner et surtout je n'arrive pas a trouver de tuto pour une configuration type 'Internet relay' (je crois que c'est comme ça que l'option se nomme dans postfix pour faire de l'envoi direct sans relai).

J'ai fait une config complète sur Exim4 et une Debian Squeeze avec un petit tuto à la clef (pour l'instant au format Word) mais j'ai quelques soucis lors de l'envoi, j'ai de temps à autres des messages rejetés par les SMTP d'en face.

Pensez vous déjà que mon choix sur Exim soit le bon, sinon d'après ce que je voudrais faire, qu'est ce qui correspondrais (sur du nunux bien sûr, quand je vois le prix d'une licence pour un Exchange Edge ça me donne pas envie!) ?

Aussi, pour permettre une certaine disponibilité, je voudrais redonder au maximum. Du genre 2 SMTP pour la réception, 2 pour l'envoi (pas besoin de loadbalancing ou de solution trop complexe, 2 MX dans le DNS et c'est réglé). A savoir que je n'ai pas de limite matérielle puisque ces serveurs seront des machines virtuelles sur 2 ESX 4.1 et 2 baies NetApp.

La config générale est plutôt sympa donc j'aimerai autant que la partie messagerie le devienne aussi smile Merci pour vos réponses!

Hors ligne

#2 Le 06/11/2012, à 11:12

tiramiseb

Re : Server SMTP Professionel

je voudrais récupérer la gestion de domaine1.fr, ce qui veux dire que mon FAI ne me laissera plus accès à l'envoi via ses SMTP

Généralement le FAI laisse toujours à ses clients l'accès à ses serveurs SMTP pour l'envoi d'e-mails. Mais je ne peux pas être catégorique là-dessus, tu as peut-être un FAI inhabituel.

Sendmail, Exim, Postfix... Bref, je ne sais pas vraiment vers lequel me tourner

Évite Sendmail dont la configuration est difficile à comprendre.

Exim et Postfix sont à peu près équivalents. Moi je connais Postfix donc je préconise Postfix, mais mes raisons ne vont pas plus loin que ça (dans ton cas en tout cas). Un gars qui connait Exim te préconisera Exim et il aura autant raison que moi.

j'ai de temps à autres des messages rejetés par les SMTP d'en face.

Ça c'est peut-être, justement, parce que tu n'utilises pas le(s) serveur(s) SMTP de ton FAI.
Je m'explique : certains FAI indiquent que certaines adresses sont des plages "dynamiques"/"utilisateurs", et certains serveurs refusent les e-mails en provenance de ces adresses. Alors que les serveurs "officiels" des FAI sont généralement toujours autorisés.

Du genre 2 SMTP pour la réception, 2 pour l'envoi

Trop compliqué à mon avis.

Tu mets ton/tes serveur(s) de mail sur le réseau interne connecté au firewall et 2 serveurs SMTP en DMZ pour l'envoi et pour la réception, sachant que l'envoi pourra également être relayé vers le serveur de ton FAI. Et c'est largement suffisant.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#3 Le 06/11/2012, à 12:14

Triptek

Re : Server SMTP Professionel

Salut,

Déjà merci de me répondre. J'vais reprendre dans l'ordre. Erreur de vocabulaire, je voulais dire reception pas envoi smile On est donc d'accord. Concrètement, tu me proposes de faire uniquement de la reception, et continuer l'envoi via mon FAI (logique, j'avoue que la j'ai pas beaucoup réfléchit). Dans ce cas, je ne risque pas de voir des soucis d'envoi, en réception non plus d'ailleurs puisque mon SMTP ne ferais que relayer vers l'Exchange, rien de bien monstrueux quoi.

Par contre la ou je ne te rejoint pas (comprends pas), c'est pour le doublage des SMTP pour la dispo. Trop compliqué? Donc la maintenant je pars du principe que la config que j'ai en tête c'est un exchange qui envoi via mon FAI (on va pas rajouter un serveur entre t'en qu'à faire, t'en pense quoi?), 2 nunux qui receptionnent et relai vers mon exchange. Ca te parais plus cohérent vu ce que je veux faire?

En ce qui concerne la solution, v uque je vais faire de la reception, je ne voudrais pas m'arrêter à une simple reception, j'vais donc rajouter un spamassassin clamav et tout le bazzare. Du coup, mon tuto que j'ai commencé pour ma config d'exim4 est bon, j'enleverai juste la partie envoi. Mais si tu as toi un tuto avec postfix, spamassassin, clamav etc... Je prends! Histoire de tester un peu ça smile

Hors ligne

#4 Le 06/11/2012, à 12:21

tiramiseb

Re : Server SMTP Professionel

le doublage des SMTP pour la dispo. Trop compliqué?

Inutile d'avoir 4 serveurs.
Sans haute dispo, un seul serveur SMTP pour l'envoi et la réception.
Avec haute dispo, 2 serveurs qui peuvent même être utilisés en répartition de charge (par exemple un serveur en envoi et l'autre en réception puis réunir les deux fonctions en cas de plantage).

on va pas rajouter un serveur entre t'en qu'à faire, t'en pense quoi?

L'envoi par ton serveur SMTP qui relaie à ton FAI (et non directement de tes clients à ton FAI) permet d'avoir un point de passage central pour tes mails, des logs de tous les mails envoyés, et une flexibilité dans le traitement des mails sortants (même si aujourd'hui ce n'est pas nécessairement utile, peut-être demain...)

si tu as toi un tuto avec postfix, spamassassin, clamav

Désolé, je n'ai pas de tuto, je fais tout de tête et d'expérience :-)
(si j'avais quelque chose à te conseiller j'aurais juste deux mots clés, qui s'appliquent autant à Postfix qu'à Exim : SpamPd et ClamSMTPd)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#5 Le 06/11/2012, à 13:13

Triptek

Re : Server SMTP Professionel

Ok très bien. Quand tu parles de haute dispo avec un serveur reception et un en envoi puis réunir les 2 fonctions. Je comprends pas bien 'réunir les 2 fonctions'. En gros avoir 2 serveurs (disons SRV1 pour l'envoi, SRV2 pour la reception) qui savent faire envoi/reception et jouer sur le connecteur d'envoi exchange, SRV1 avec une priorité plus haute que 2 et pour la reception jouer avec les entrées DNS et dire d'utiliser SRV2 puis SRV1 c'est bien ça? Comme ça en cas de crash d'un des 2 la bascule se fera automatiquement? Et vu la config, la charge est réparti sur les 2.

Pour clampd, tu veux dire spamassassin ou bien c'est une solution autre?

Hors ligne

#6 Le 06/11/2012, à 13:15

Triptek

Re : Server SMTP Professionel

Si clamsmtpd et spampd sont des solutions autres que clamav et spamassassin, tu le préconise car ils sont plus performants?

Hors ligne

#7 Le 06/11/2012, à 14:01

tiramiseb

Re : Server SMTP Professionel

[...] Comme ça en cas de crash d'un des 2 la bascule se fera automatiquement? Et vu la config, la charge est réparti sur les 2.

Voilà. Ou alors tu utilises des adresses IP flottantes et tu fais de la haute dispo avec Corosync/Pacemaker, mais dans le cas du relais SMTP ça n'a pas vraiment de sens, comme tu le pointes, vu que les serveurs tiers savent communiquer avec deux adresses.

Si clamsmtpd et spampd sont des solutions autres que clamav et spamassassin, tu le préconise car ils sont plus performants?

SpamPD et ClamSMTP sont deux démons "proxy" SMTP utilisant respectivement Spamassassin et ClamAV.
Amavis est une solution souvent appréciée. Mais j'aime le principe KISS, et Amavis n'est pas très KISS : un gros machin à configurer pour y coller deux autres machins qui eux-mêmes doivent être configurés... un peu usine à gaz, Amavis.

SpamPD et ClamSMTP écoutent en SMTP sur un port et renvoient les e-mails filtrés sur un autre port, sans fioriture.

Donc ta chaîne sur ton relais de messagerie serait :

entrée => port 25 Exim => port 10025 SpamPD => port 10026 ClamSMTP => port 10027 Exim => sortie



Par contre, désolé, mais là je commence à donner des conseils approfondis qui sont généralement mon gagne-pain, surtout que dans ton cas c'est pour une boîte, alors je me permettrai de ne plus approfondir sur ce sujet, j'imagine que tu comprendras pourquoi... Je reste joignable pour du conseil à titre pro si nécessaire :-)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#8 Le 06/11/2012, à 14:35

Triptek

Re : Server SMTP Professionel

Mais ne somme nous pas dans le monde du partage? smile Je déconne évidemment et je comprends ta réponse ! Bon en tout cas pour la partie filtrage, je fait exactement ça avec spamassassin et clamav, ecouter sur le 783 pour spamassassin (si j'me trompe pas) et clamav je sais plus, mais en tous cas le principe reste le même.

Merci en tous cas pour tes réponses, maintenant je vais devoir chercher la configuration a faire pour faire le tri sur mon SMTP s'il fait les 2 rôles sachant que si un mail a pour destination toto@domaine1.fr ou toto@domaine2.fr il faudra le renvoyer vers mon exchange, sinon il faudra le renvoyer à mon FAI. D'ailleurs si quelqu'un a une idée de la config qu'il faut pour ça sur exim, you're welcome! smile

Hors ligne

#9 Le 06/11/2012, à 19:59

Titouan

Re : Server SMTP Professionel

voir transport_maps qui sait faire beaucoup de choses. à creuser.
tu peux utiliser plusieurs smtp type fai aussi.
sender_dependent_relayhost_maps dans une moindre mesure.
utiliser relay_recipient_maps un peu comme dans une conf de mx backup
Complément  Exchange

Hors ligne

#10 Le 07/11/2012, à 11:33

Triptek

Re : Server SMTP Professionel

Salut,

en fait j'ai trouvé une solution en relisant la doc avec route_list. Ma partie smarthost :
smarthost:
  debug_print = "R: smarthost for $local_part@$domain"
  driver = manualroute
  domains = ! +local_domains
  transport = remote_smtp_smarthost
  route_list = domaine1.fr DCsmarthost byname;\
               domaine2.fr DCsmarthost;\
               * IP_DE_MON_FAI
  host_find_failed = defer
  same_domain_copy_routing = yes
  no_more

Ou DCsmarthost est la valeur de dc_smarthost dans mon fichier update-exim4.conf.conf. Par contre un truc de très étrange que je suis en train de regarder, dans dc_relay_nets j'autorise uniquement le serveur qui receptionne temporairement mes mails de mon domaine2.fr. Mais quand j'me connecte en telnet depuis une autre machine, miracle, j'peux envoyé des mails. Sachant que la machine autorisé est en DMZ donc autorisation sur son IP publique et que je me connecte en telnet depuis mon LAN.

Le plus miraculeux, j'ai laissé vide le champs dc_relay_nets, donc je refuse tout (sauf 127.0.0.1 par défaut, config par defaut vu dans la doc d'exim) mais ça ne change rien, les mails passent toujours... J'ai bien fait un update-exim4.conf et relancé les services, rien en change.

Du coup, j'me suis dis que celà venait du fichier update-exim4.conf alors je suis allé directement dans exim4.conf.template et j'ai changé :
hostlist relay_from_hosts = MAIN_RELAY_NETS
en :
hostlist relay_from_hosts = IP_SMTP_DE_RECEPTION

Je relance les services, rien ne change.

Sans convictions, je pars du principe que le fichiers update-exim4.conf viens mettre a jour les variables qu'on retrouve dans exim4.conf.template (ici dc_relay_nets correspondrais à MAIN_RELAY_NETS)

Hors ligne

#11 Le 07/11/2012, à 12:56

Triptek

Re : Server SMTP Professionel

Je viens de réussir à autoriser mon IP via acl_check_rcpt, mais la j'autorise la connexion puis je bloque la reception si l'IP ne correspond pas. Ca marche sans problème mais je voudrais bloquer avant, donc refuser la connexion mais la je bloque, pourtant j'ai bien les lignes suivantes :

accept
    hosts = +relay_from_hosts

Franchement la j'suis pommé! Je vois pas pourquoi les connexions sont encore autorisées. J'ai également testé en mettant directement mes IPs autorisées mais rien y fait, exim accepte toujours mon LAN.

Hors ligne

#12 Le 07/11/2012, à 16:56

Titouan

Re : Server SMTP Professionel

Je ne l'utilise pas Exim. désolé.

Hors ligne

Haut de page ↑